Jak je to s Huawei a kybernetickou bezpečností
V souvislosti s tím, jak Ministerstvo vnitra couvá od novely vyhlášky o významných informačních systémech (informoval Český rozhlas) se opět rozbíhá debata o opatřeních vůči společnosti Huawei a dalších aspektech politiky státu v oblasti kybernetické bezpečnosti. Bohužel je to debata, která nejen že míchá jablka s hruškami, ale sem tam pro dobrou míru přihodí ještě bednu ananasu. Pokusím se tedy rozebrat jednotlivé části debaty tak, aby byly srozumitelné a bylo jasné, o kdo o čem mluví a proč se (pravděpodobně) co děje.
Téma první: novela vyhlášky
Česká republika byla jednou z prvních zemí, která uchopila problém kybernetické bezpečnosti ve vztahu ke kritické a významné informační infrastruktuře státu skutečně systematicky. Základní koncept byl vymezen zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a jeho dvěma hlavními prováděcími předpisy, vyhláškou 316/2014 Sb., o kybernetické bezpečnosti, a vyhláškou č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích.
Hlavní náplní vyhlášky o kybernetické bezpečnosti je definice přístupu k jednotlivým oblastem celé problematiky. Definuje oblasti, kterými je třeba se při prosazování kybernetické bezpečnosti zabývat a poskytuje rámcové návody, co vše je třeba řešit a jak by měly dotčené organizace k řešení těchto oblastí přistupovat. Tato vyhláška byla novelizována v roce 2018 a její obsah je prostý zásadních kontroverzí.
Novelizace vyhlášky o významných systémech měla přijít na řadu vzápětí, ale Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který je spolu s Ministerstvem vnitra jejím gestorem, narazil na tuhý odpor státní správy. Ten směřoval především k tomu, že vyhláška místo aby vybírala skutečně jen ty důležité systémy, jak tomu je doposud, měla pravidla pro kybernetickou bezpečnost roztáhnout plošně v podstatě na všechny systémy veřejné správy. Tento ústup od diferenciace toho, co je skutečně významné z pohledu zajištění fungování základních služeb státu, by se promítl do neúměrného zvýšení nákladů. To by samo o sobě ještě nemuselo být úplně špatně, kamenem úrazu se ale stala skutečnost, že si NÚKIB zjednodušil práci a prohlásil v důvodové zprávě vyhlášky, že tato nová právní úprava nemá dopady do veřejných rozpočtů, což je objektivně nesmysl.
„Zpátečka“ Ministerstva vnitra tak nesouvisí s ústupem České republiky od základní teze, že je nezbytné zajistit kybernetickou bezpečnost klíčových IT systémů, ale pouze reflektuje skutečnost, že nedává smysl zavádět právní úpravy, které sice vypadají dobře na papíře, ale v praxi nejsou realizovatelné. Na tento fakt upozorňovala NÚKIB celá veřejná správa jak v rámci meziresortního připomínkového řízení k chystané novele, tak v rámci veřejných slyšení a dalších pracovních setkání, která se k tomuto tématu uskutečnila.
Vyhláška si novelu jistě zaslouží, a stejně tak dává smysl více standardizovat přístup k jednotlivým typům informačních systémů. Je ale bezesporu nutné zachovat jak diferencovaný přístup k jednotlivým systémům dle jejich významu pro fungování státu, tak zohlednit realizovatelnost povinných opatření. Problémem totiž nejsou jen finance (i když i těch se na zajištění kybernetické bezpečnosti ve většině resortů nedostává), ale především personální kapacity jednotlivých úřadů. Sehnat dnes odborníka na kybernetickou bezpečnost je velmi komplikované, a když k tomu připočtete ještě finanční podmínky státní správy a její celkový přístup k zaměstnávání odborníků, jedná se v pravdě o „mission impossible“.
Causa Huawei není o výměně telefonů
Všechny výše popsané problémy v oblasti právního ukotvení kybernetické bezpečnosti ale bezesporu mají jedno společné – nijak nesouvisí s mediálně velmi vděčným tématem zjednodušeně označovaným „Causa Huawei“. O co tedy v případě Huawei skutečně jde?
Národní úřad pro kybernetickou a informační bezpečnost vydal 17. prosince 2018 varování před produkty a aplikacemi společností skupin Huawei a ZTE. Varování je institut popsaný přímo v zákoně o kybernetické bezpečnosti, včetně jednoznačného stanovení povinností pro jednotlivé dotčené úřady a organizace. Tou základní povinností je provedení analýzy rizik, která určí, zda představují konkrétní technologie, produkty nebo aplikace uvedených dodavatelů riziko pro informace daného úřadu. V žádném případě tedy nejde o plošný zákaz jejich použití, jak je mnohdy presentováno.
Analýza rizik je obecný nástroj, který je pro zajištění kybernetické bezpečnosti naprosto standardní. Jeho základní vlastností je, že přistupuje k jednotlivým součástem informačního systému diferencovaně a hodnotí jejich rizika pro chráněné informace a informační služby, přičemž následně pro identifikovaná rizika navrhuje konkrétní opatření směřující k jejich eliminaci nebo zmírnění jejich dopadů. Základní pohled na bezpečnost přitom vychází z potřeby zajistit tři hlavní atributy – integritu, důvěrnost a dostupnost dané informace nebo skupiny informací. Zjednodušeně řečeno – že mi informace nikdo nezmění pod rukama, že se informace nevykecají, a že se k nim dostanu vždy, když je budu potřebovat.
Mediální zkratka, že vláda zakázala mobilní telefony Huawei, je tedy sama o sobě nesmyslná. Nic na tom nemění fakt, že někteří politici – premiéra nevyjímaje – se přesně k této zkratce v rámci prvotních reakcí na vyrování vydané NÚKIBem uchýlili. Huwaie a ZTE nejsou jen dodavateli koncových zařízení, ale především dodavateli páteřních technologií, na kterých jsou vybudovány datové komunikace jak v rámci jednotlivých úřadů, tak například sítě všech v Česku působících telekomunikačních operátorů, dohledová centra výrobců a distributorů elektrické energie a další skutečně kritické systémy nezbytné pro normální fungování státu.
A právě zhodnocení rizik pro tyto kritické systémy bylo předmětem varování NÚKIBu. Z pohledu bezpečnosti státu je sice poměrně nepříjemné, pokud by někdo dokázal odposlechnout telefonické hovory jeho čelných představitelů, nesrovnatelně větší dopad by ale mělo například odpojení elektrické distribuční sítě nebo vypnutí systémů krajské nemocnice. To všechno jsou útoky, které je možné v oblasti kybernetické bezpečnosti předpokládat a když se podíváme na historii těch nejznámějších kybernetických útoků, ve své drtivé většině směřují právě k odepření služby. Zatím se tak většinou děje pomocí takzvaných DDOS útoků (distributed denial of service), z těch připisovaných čínským hackerům jsou to třeba útoky na Hong Kong nebo BBC. Realizace DDOS útoku je ale poměrně složitá záležitost a existují proti ní více či méně účinné obranné strategie. O co jednodušší by to útočník měl, kdyby mohl například využít skrytou instrukci infrastrukturních prvků, která by vypnula informační systémy oběti přímo.
Zní to sice jako science fiction, ale je třeba mít na paměti, že jak Huawei, tak ZTE jsou přímo spojeny s Čínskou lidovou armádou a její rozvědkou.
Dalším aspektem, který je třeba brát v úvahu – a tady jde opět dobře ilustrovat nesmyslnost „výměny telefonů“ – je skutečnost, že podstatná část mobilních telekomunikací je dnes zprostředkovávána právě prvky společnosti Huawei, a v oblasti přicházející technologie 5G má Huawei natolik výsostné postavení, že v podstatě neexistuje k jeho řešením alternativa. Zde se nabízí jasná úvaha – proč by měl případný útočník vyvíjet snahu o odposlech konkrétního telefonu, když může zabudovat sledovací technologie přímo do telekomunikační infrastruktury a sbírat data přímo u zdroje.
Vezmeme-li v úvahu výše uvedené, je zřejmé, že se nehraje o výměnu telefonů, ale o samé základy informačních technologií v kritické a významné infrastruktuře státu. Analýza rizik v případě, že existuje věrohodné varování před bezpečností konkrétní technologie (a varování NÚKIB jsou všechny organizace dotčené zákonem o kybernetické bezpečnosti povinny brát jako relevantní) logicky musí skončit požadavkem na řešení dané hrozby. V takovémto případě jsou pak možné pouze dvě základní strategie – hrozbu akceptovat, nebo dané technologie z klíčových míst systému vyloučit. Každá z těchto strategií má své výhody a své stinné stránky. Jak se s nimi popasují jednotlivé organizace a co to bude znamenat pro jejich bezpečnost a především pro bezpečnost České republiky ukáže až čas.
Volání po důkazech je marné z definice
Ve veřejném diskurzu se často objevuje argument, že varování NÚKIB, stejně jako obdobná opatření přijatá vládami USA, Austrálie a dalších zemí proti technologiím Huawei, nejsou podložena konkrétními důkazy o jejich škodlivých funkcích. Tady ovšem narážíme na zásadní problém – současná technologie výroby počítačových komponent je natolik pokročilá, že provedení zpětné analýzy integrovaných obvodů je prakticky nemožné.
Integrovaný obvod je v podstatě vyroben tak, že se na sebe „lepí“ jednotlivé mikroskopické vrstvy obsahující konkrétní funkční celky. Analýza takového obvodu se pak prováděla tak, že byly tyto vrstvy postupně odleptány a byla identifikována funkce každé z nich, až bylo možné popsat kompletní instrukční sadu celého obvodu. Se současnou úrovní miniaturizace, kdy jednotlivé vrstvy mají tloušťku pouze 7 nanometrů (0.0000007 cm) je ovšem takový postup fyzicky nemožné realizovat. Proto musí nastoupit jiné metody zjištění, zda jsou nově produkované čipy (a zařízení na nich postavená) bezpečné.
Není tedy možné se divit, že se NÚKIB odvolává na „jiné zdroje informací“. V tomto případě se logicky nabízí vysvětlení, že informace o nebezpečnosti konkrétních technologií nebyla získána technickou analýzou – jak jsme si řekli výše, to ani není možné, ale jedná se o zpravodajské informace. A u těch je logické, že jsou vedeny v režimu utajení který nepřipouští jejich veřejné publikování, nebo byť jen zveřejnění jejich zdroje.
One thought on “Jak je to s Huawei a kybernetickou bezpečností”
Trosku me mrzi ze se zapomíná jeste na dřívější zpravu, kterou vydal NBÚ dlouho předtím než NÚKIB a to právě díky zpravodajským službám, které by pro nas mely byt hrotem kopí či pomyslným deštníkem. Další fakt, který je nutné z mého pohledu, brát v potaz je, jakým způsobem Huawei podniká a jakým způsobem se dostává do sféry vlivu, typicky skrze nejslabší články a těmi jsou politici a u nás jak všichni dobře vědí se jim povedlo přátelství vpravdě famózní a to primo s hradem, koneckoncu neni to tak dlouho, kdy mela dokonce svoji konferenci primo na hradě a ukažte mi prosim jediného jineho vyrobce IT technologii, ktery mel v tomto ohledu stejne podminky ci by realizoval konferenci podobneho charakteru na takovem miste. Na zaver jeste doplním shrnuti ekonomických faktu, VŠE, co je levne vyžaduje zvýšenou pozornost a pokud se jedna o technologii, ktera ma vyhlídky byt zde s nami radu let a sloužit ve vsech oblastech naseho státu, je potreba teto technologii venovat zvýšenou pozornost a hlavne si byt jisty, ze nam tato technologie diky sve oslnive cene nemuze uškodit, uz je to kdyby s nami zahraniční spravodajske sluzby přestaly vyměňovat informace beru jako pomerne stěžejní showstopper pro takovou technologii, pokud bychom se tedy nerozhodli, ze našimi spojenci budou jine státy nez tomu tak je doposud. Verim, ze se nic takoveho nestane.